Prestation canadienne d'urgence pour les étudiants - Sommaire d'évaluation des facteurs relatifs à la vie privée

Direction de l’intégration horizontale
Direction générale de cotisation, de prestation et de service
Agence du revenu du Canada

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada/ Emploi et Développement social Canada

Fonctionnaire responsable de l’ÉFVP

Frank Vermaeten
Sous-commissaire
Direction générale de cotisation, de prestation et de service
Agence du revenu du Canada

Atiq Rahman
Sous-ministre adjoint
Direction générale de l’apprentissage
Emploi et Développement social Canada

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Steven Morgan
Directeur général
Direction de l’accès à l’information et de la protection des renseignements personnels
Agence du revenu du Canada

Scott MacKay
Directeur
Division de la gestion de la protection des renseignements personnels
Emploi et Développement social Canada

Nom du programme ou de l’activité de l’institution fédérale

Pour l’Agence :
Programme de prestations

Pour EDSC :
Programme de prestations

Catégories de documents spécifiques à l’institution ou ordinaire :

La Prestation canadienne d’urgence (PCU), la Prestation canadienne d’urgence pour les étudiants (PCUE), la Prestation canadienne de la relance économique (PCRE), la Prestation canadienne de maladie pour la relance économique (PCMRE) ou la Prestation canadienne de la relance économique pour proches aidants (PCREPA) sont généralement considérées comme un revenu imposable.
ARC DGCPS 649

Fichier de renseignements personnels (FRP) spécifiques à l’institution ou ordinaire :

Prestation canadienne d’urgence pour les étudiants
ARC PPU 641

Autorisation légale pour le programme ou l’activité

Ce qui suit représente les autorités pour EDSC :

Ce qui suit représente le pouvoir de l’Agence d’administrer ces prestations au nom d’EDSC :

Résumé du projet, de l’initiative, des modifications

Aperçu du programme ou de l’activité

Le 1er mai 2020, le gouvernement a adopté une loi (projet de loi C-15) Loi concernant la prestation canadienne d’urgence pour étudiants (maladie à coronavirus 2019). Ce texte autorise le paiement de la Prestation canadienne d’urgence pour les étudiants (PCUE) aux étudiants qui ont perdu des possibilités de travail et de revenus pour des raisons liées à la COVID-19 (maladie à coronavirus).

La PCUE a fourni un allègement financier d’urgence aux étudiants et aux nouveaux diplômés qui n’étaient pas admissibles à la Prestation canadienne d’urgence ou aux prestations d’assurance-emploi (AE) et qui n’étaient pas en mesure de trouver du travail en raison de la COVID-19. La PCUE a fourni un soutien financier pour un maximum de quatre (4) mois, de mai 2020 à août 2020. Les étudiants ont été en mesure de présenter une demande rétroactive pour cette prestation jusqu’au 30 septembre 2020.

Les étudiants admissibles ont reçu 1 250 $ par mois, plus un montant supplémentaire de 750 $ par mois s’ils avaient au moins un enfant de moins de 12 ans ou d’autres personnes à charge, ou s’ils avaient une déficience pour un maximum de 2 000 $ par mois.

La prestation était offerte aux étudiants qui :

Les particuliers ont commencé à soumettre des demandes de PCUE à compter du 15 mai 2020, et le programme exigeait qu’ils attestent qu’ils satisfaisaient aux exigences en matière d’admissibilité. Ils devaient confirmer de nouveau leur droit aux prestations toutes les quatre semaines.

Les Canadiens pouvaient sélectionner l’un des trois moyens suivants pour présenter une demande de prestations :

  1. à l’aide du portail sécurisé Mon dossier de l’Agence;
  2. en composant le numéro sans frais du système de demande automatisé;
  3. en composant le numéro sans frais des demandes de renseignements des particuliers pour obtenir de l’aide s’ils ne peuvent utiliser les autres services.

L’Agence a administré cette prestation au nom d’EDSC et a utilisé les renseignements existants sur les contribuables pour l’administration et certaines activités de vérification de l’admissibilité avant paiement (phase 1), ainsi que pour l’observation et l’exécution après paiement (phase 2). Les échanges de données de renseignements personnels entrepris au cours de la phase 1 sont décrits ci-dessous (voir la section sur le type de renseignements personnels concernés et contexte). La phase 2 est hors de la portée et sera évaluée dans le cadre d’une évaluation des facteurs relatifs à la vie privée (ÉFVP) distincte.

La portée de l’évaluation des facteurs relatifs à la vie privée

La phase 1 porte uniquement sur l’administration de la prestation. On estime qu’elle fait partie du champ d’application de la présente ÉFVP. Des activités post-vérification, d’observation et d’exécution seront entreprises à la phase 2, pour s’assurer que les demandeurs qui ont droit aux prestations les ont reçues et que tout paiement en trop est perçu en conséquence, comme il est prévu dans le protocole d’entente entre EDSC et l’Agence. Une nouvelle ÉFVP abordera les activités d’observation et d’exécution de la phase 2.

Aux fins de l’administration de cette prestation, les avis juridiques et le protocole d’entente font la distinction entre la collecte, l’utilisation et la divulgation des renseignements personnels recueillis en vertu de la LPCUE et la collecte de renseignements sur les contribuables en vertu de la LIR (c.-à-d. les renseignements qui ont été recueillis aux fins d’administration et d’exécution de la LIR).

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes/ Activités et services

Niveau de risque pour la vie privée : 2

Détails :

Les renseignements personnels ont été utilisés par EDSC et l’Agence pour administrer la PCUE. L’administration de la prestation de la phase 1 fait partie de la portée de la présente ÉFVP. Les activités d’observation et d’exécution de la phase 2 ne font pas partie de la portée de la présente ÉFVP.

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale (NAS), les renseignements médicaux ou financiers, ou d’autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Les renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d’un particulier.

Niveau de risque pour la vie privée : 3

Détails :

Les renseignements personnels peuvent comprendre : le nom, les coordonnées, le numéro d’assurance sociale ou le numéro d’identification temporaire (NIT), la date de naissance, la date de décès, le revenu, l’attestation d’admissibilité, les renseignements sur le dépôt direct, l’incarcération et l’adresse postale. Le NIT est un identifiant utilisé par l’Agence pour les contribuables qui résident au Canada et qui sont tenus de produire des déclarations de revenus, mais qui ne peuvent obtenir un NAS. Les personnes ayant un numéro d’identification-impôt (NII) [c.-à-d. les non-résidents, les étudiants internationaux] ne sont pas admissibles à la PCUE.

Les demandeurs étaient tenus d’attester qu’ils sont un citoyen canadien, un Indien inscrit, un résident permanent ou une personne protégée, entre autres renseignements sur l’admissibilité, et de confirmer s’ils ont des personnes à charge ou une déficience, ainsi que d’indiquer la période pour laquelle ils ont fait la demande.

Afin de déterminer davantage l’admissibilité, le système d’identification T1 de l’Agence a fait l’objet d’une référence croisée (rapprochement des données) avec les renseignements suivants :

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec d’autres institutions fédérales

Niveau de risque pour la vie privée : 2

Détails : L’Agence a administré et appliqué la PCUE au nom d’EDSC.

Services partagés Canada soutenait le mécanisme d’Exchange de données (FTP sécurise) entre EDSC et l’Agence

D) Durée du programme ou de l’activité

Programme à court terme

Niveau de risque pour la vie privée : 2

Détails : Il s’agissait d’un programme à court terme visant à aider les étudiants confrontés à des difficultés financières en raison de la pandémie de COVID-19 de mai à août 2020. Les étudiants ont été en mesure de présenter une demande rétroactive pour cette prestation jusqu’au 30 septembre 2020. Toutefois, les activités d’exécution (pour vérifier ou recouvrer des paiements erronés ou en trop) pourraient durer quelques années. Remarque : Pour cette ÉFVP, les activités d’exécution et d’observation de la phase 2 étaient hors de la portée et seront évaluées dans une ÉFVP distincte.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme touche les étudiants qui ont demandé cette prestation.

F) Technologie et vie privée

  1. L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Non

   2. Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Oui

   3. Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies        suivantes?

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Non

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

 

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système.

Niveau de risque pour la vie privée : 2

Les renseignements personnels sont transférés à un appareil portable ou sont imprimés.

Niveau de risque pour la vie privée : 3

Les renseignements personnels sont transmis à l’aide de technologies sans fil.

Niveau de risque pour la vie privée : 4

Détails : Les particuliers ont soumis leurs renseignements personnels dans leur demande de PCUE à l’Agence par voie électronique au moyen de Mon dossier en utilisant une technologie avec ou sans fil. Par ailleurs, ils peuvent transmettre leurs renseignements personnels à l’Agence au moyen d’un service téléphonique automatisé en utilisant une ligne téléphonique terrestre ou cellulaire. Ces renseignements Protégé B sont ensuite stockés dans divers systèmes et bases de données de l’Agence, qui ont accès à d’autres systèmes et, dans des circonstances limitées, peuvent être transférés à un appareil portatif sécurisé approuvé par le ministère, comme une clé USB sécurisée avec un niveau de chiffrement plus élevé (p. ex., dans le cas d’une divulgation autorisée aux organismes d’application de la loi).

Les données du demandeur sur son NAS, volet et période de paiement sont tirées de l’ordinateur central de l’Agence. Ils sont ensuite envoyés à EDSC au moyen d’un canal sécurisée existant, soit le protocole de transfert de fichiers (FTP) sécurisé à l’aide du logiciel de chiffrement Entrust.

Le mécanisme d’échange de données (protocole FTP sécurisé) entre EDSC et l’Agence – et appuyé par SSC – existe depuis plus d’une décennie et est demeuré le même pour la présente initiative.

H) Risque possible pour le particulier ou l’employé

Détails : Si des renseignements personnels sont compromis, cela peut entraîner un préjudice financier et un embarras pour le particulier touché.

Au début du mois d’août, le gouvernement du Canada a pris des mesures pour mettre fin aux attaques de bourrage de justificatifs contre le Service de justificatifs d’identité portant la marque du gouvernement du Canada (« CléGC ») et le Mon dossier pour les particuliers de l’Agence.

L’Agence continue de surveiller les activités suspectes découlant des attaques de bourrage de justificatifs. Des mesures de protection ont été mises en place pour les comptes touchés. L’Agence a également mis en place des mesures pour repérer les comptes à risque élevé afin de prévenir les demandes de PCUE potentiellement suspectes. Tous les paiements de la PCUE valides continueront d’être émis.

Mon dossier Service Canada utilise la CléGC comme l’une des options pour ouvrir une session. Auparavant, les particuliers pouvaient accéder à leur Mon dossier de l’Agence au moyen d’un lien à partir de leur dossier Mon dossier Service Canada. Ce lien a été désactivé en réponse.

L’Agence collabore avec la GRC dans le cadre de son enquête sur les attaques de bourrage de justificatifs. L’Agence continue aussi de travailler avec des homologues du gouvernement, y compris le Centre canadien pour la cyber sécurité et le Secrétariat du Conseil du Trésor du Canada, pour répondre aux attaques de bourrage de justificatifs.

Le Commissariat à la protection de la vie privée a été informé des incidents de cyber sécurité. Le commissaire à la protection de la vie privée a entamé des enquêtes.

De plus amples renseignements sur les mesures d’atténuation se trouvent dans l’évaluation des facteurs relatifs à la vie privée de la gestion de l’authentification et des justificatifs d’identité.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :